在之前,大家对数据库的下载方法进行了一些探讨与研究,我先来大概的叙述一下他们的思路,通过自己的合理推理得出了一个结论:将数据库的名字前加上“#%”就可以防止被下载了。有人在充分理解IIS解析的前提下对其文章进行了更为深入的研究,反驳了其观点,应该说他们的问题集中在了“#%”后的“%”如何处理。还有人...
文章开头我们先说一下“or”的作用,“or”和“and”都是用来连接两个条件,在使用“and”连接的时候必须要求两个条件都为真才会返回“true”,而在使用“or”连接的时候只要其中有一个条件为真就会返回“true”。下面我们就开始实战分析注入点“http://www.xxxxx.com/news/...
我曾经详细的写过一篇过于PHP程序注入的文章,其中就对mysql5.O以上版本的数据库进行了一些介绍,只是限于篇幅,介绍的并不多,也不是太详细,今天我就再详细的介绍一下关于mysql5.0以上版本数据库的注入技巧,希望能对大家有所帮助。我们都知道,通常asp程序是跟access数据库搭配,而php程...
这是我要给大家介绍一个近乎完美的远程傻瓜管理Linux平台——Webmin。那么,Webmin究竟是什么呢?对于大家们来说,架设——Linux服务器最头疼的就是命令行方式下服务器的架设了,但是Webmin却可以代替我们进行傻瓜式的命令行操作,它是目前功能最强大的基于Web的Unix系统管理工具。管理...
好友的网站使用到了ok3w这套CMS系统,据说这套系统的代码很严谨,还可以方便的进行二次开发,看着他做好的网站,于是我就想检测一下其安全性如何。在检测之前,我先使用搜索引擎搜索了一下这套CMS,找到了很多分析其漏洞的文章,当然绝大多数都为转载,更雷人的是,官方针对这些漏洞也做出了回应。我仔细的看了看...
在网上看到某人公布出了CityShop的一个注入漏洞,我就从网上下载了CityShop并在虚拟机里安装好后测试了一下,利用公布出的方法成功的拿到了Webshell。漏洞是出在section目录下的goods_script.php文件中,关键代码如下:上面代码中的$chknum=$conn->q...
前几天一位朋友给我介绍了一个速度不错的免费空间,于是我就起了给BLOG搬家的念头,由于我的BLOG所在的空间在使用FTP的时候巨卡无比,我就只把文章、主题还有其他的一些文件复制了下来,并把复制下来的文件上传到了新空间中覆盖掉了旧文件(我事先已经在新空间中安装好了ZBLOG),接下来我登录后台,结果却...
这年头怪事连出,连百度贴吧的图片也可以实现跳转了,只要我们点击图片就可以跳转到任何你指定的网站或者论坛。实现的方法非常简单,但就这居然还有人拿来卖钱呢,先BS一下。首先建立一个文本文件,把下列代码复制进去(以ASP语言为例),然后再把文本文件的名字改成index.asp:将以上代码保存成index....
之前在维护网站的过程中发现了一个问题,就是在lE浏览器升级到了IE之后,后台编辑功能的所有按钮都失效了,以前也曾经遇到过类似的情况,完全是浏览器设置的问题,本以为是浏览器安全系数设置过高而导致的,但是经过自己一个下午的检查,问题依旧存在。看来,这次的问题不同寻常了。到百度上搜索了一下,出来了很多种答...
无聊中,看到了别人写的“数据库防下载新招之“#%”这篇文章,感觉非常不错,于是就将数据库的名称也改为了“#%”开头的。后来,我又在本地架设了一个小型服务器并从网上寻找了一套源码进行测试,服务器架设完成后,此时数据库的默认地址为“http://127.0.0.1/db/com02.mdb”,是可以直接...
